网站导航
> 技术文档 > 实战!银河麒麟 KYSEC 安全中心执行控制高级配置指南_银河麒麟安全配置管理在哪

实战!银河麒麟 KYSEC 安全中心执行控制高级配置指南_银河麒麟安全配置管理在哪

网友: 技术文档 2025-08-15 16:14:22

原文链接:实战!银河麒麟 KYSEC 安全中心执行控制高级配置指南

Hello,大家好啊!今天给大家带来一篇关于在银河麒麟操作系统(Kylin OS)中使用 KYSEC 安全中心的执行控制功能进行高级配置的文章!在信创环境下,为了提升系统安全性,银河麒麟内置了 KYSEC 安全标签系统,通过执行控制(exectl)机制,我们可以对脚本、应用程序进行可信授权、白名单控制,防止恶意程序运行。本文将带你从图形界面操作到命令行技巧,全面掌握“执行控制”的授权与管理流程。欢迎大家分享点赞,点个在看和关注吧!

一、问题复现

在默认配置下,当你执行一个普通脚本(例如 test.sh)时,系统会弹出安全中心的授权对话框,要求确认“是否允许执行”。

sudo bash test.sh

第一次执行时将出现 KYSEC 提示,点击“始终允许”后才不再提示。

但如果希望:

批量脚本执行不干扰

运维脚本自动化运行

某些工具无需每次重复授权

就需要通过高级配置来提前授信,设置执行控制标签。

1.查看系统信息

pdsyw@pdsyw1024:~/桌面$ cat /etc/os-release ​pdsyw@pdsyw1024:~/桌面$ uname -a

img

2.执行脚本弹出授权框

pdsyw@pdsyw1024:~/桌面$ ll test.sh​-rw-rw-r-- 1 pdsyw pdsyw 9 4月 24 21:06 test.sh​pdsyw@pdsyw1024:~/桌面$ sudo bash test.sh ​tet

img

3.点击始终允许

img

4.脚本执行成功

img

二、通过图形化界面添加执行授权

1.点击安全中心

img

2.点击高级配置

img

3.点击添加

img

4.添加完成

img

5.执行测试不弹出授权框

pdsyw@pdsyw1024:~/桌面$ sudo bash test.sh ​输入密码     ​tet

img

6.解除白名单授权

img

7.授权白名单解除

img

三、通过命令行完成

1.执行添加白名单授权

pdsyw@pdsyw1024:~/桌面$ kysec_set -n exectl -v verified test.sh

img

2.在安全中心查看显示已添加脚本

img

3.执行测试脚本不弹出授权框

pdsyw@pdsyw1024:~/桌面$ sudo bash test.sh ​输入密码     ​tet

img

4.取消白名单授权

pdsyw@pdsyw1024:~/桌面$ kysec_set -n exectl -x test.sh

img

5.安全中心查看已经解除

img

6.kysec_set命令解释

pdsyw@pdsyw1024:~/桌面$ kysec_set -h​Usage:kysec_set [ -r ] -n LABEL_NAME -v LABEL_VALUE PATH1 PATH2 ...​   kysec_set -n LABEL_NAME -v LABEL_VALUE -f FILE_PATH​   kysec_set -n LABEL_NAME -v LABEL_VALUE --package PACKAGE_NAME​   kysec_set -n LABEL_NAME -x PATH1 PATH2 ...​   kysec_set -n kid PATH1 PATH2 ...​ -r: set kysec label recursively, work for directories only​ -n: set the specified label type only, it can be kid, exectl, protect or userid​ -v: new label value, label_value veris depends on label_name​ -f: set kysec label for files listed in FILE_PATH, one file path per line​ --package: set all the files\' kysec labels for a installed package​ -x: clear kysec label specified by label_name​ -h: show help information.

*参数详解:*

*参数* *含义* -r 递归设置标签(只适用于目录) -n LABEL_NAME 指定标签名,必须提供,可选值如 kid(主体标识),exectl(执行控制),protect(保护级别),userid(用户ID)等 -v LABEL_VALUE 标签值,根据所选标签名不同而不同 -f FILE_PATH 指定一个文件,文件内每一行是一个路径,对这些路径设置标签 --package PACKAGE_NAME 给指定安装包内所有文件设置标签 -x 清除某种类型的标签,例如 -n protect -x file1 表示清除 file1 的保护标签 -h 显示帮助信息

img

7.命令查看测试脚本权限标识

pdsyw@pdsyw1024:~/桌面$ kysec_get test.sh​test.sh: none:none:verified:1

img

8.kysec_get命令解释

pdsyw@pdsyw1024:~/桌面$ kysec_get -h​Usage:kysec_get [ -r ] [ -n LABEL_NAME ] PATH1 PATH2 ...​   kysec_get -p PID​   kysec_get --package PACKAGE_NAME​ -r: get kysec label recursively for directories​ -n: get the specified label only, label_name can be kid, exectl, protect or userid​ -p: get the label for process PID​ --package: get the label for a installed package​ -h: show help information.

*参数说明:*

*参数* *含义* -r 递归查看目录下所有文件的安全标签 -n LABEL_NAME 指定要查看的标签类型,如 kid、exectl、protect、userid -p PID 查看某个进程(通过进程ID)的安全标签 --package PACKAGE_NAME 查看某个已安装软件包中所有文件的标签 -h 显示帮助信息

img

*实用场景建议*

*使用场景* *推荐方式* 运维脚本自动运行 kysec_set -n exectl -v verified script.sh 本地工具授信 GUI 添加白名单或命令行配置 开发测试部署包统一授权 使用 --package 批量添加标签 避免重复授权弹窗 图形界面设置“始终允许”或预置标签

安全提示

执行控制是保护系统的一道防线,请仅对白名单文件赋予 verified 标签;

不要轻易对白来源不明的脚本或第三方程序赋权;

可结合 protect 标签设定不同级别的资源保护策略,提升整体安全性。

银河麒麟操作系统的 KYSEC 安全中心提供了强大的执行控制能力,既支持图形化设置,也支持命令行批量管理,是信创场景下提升操作系统主动防护能力的重要工具。学会灵活配置执行白名单,不仅能提升系统安全,也能显著提高工作效率!如果你觉得这篇文章对你有帮助,欢迎点赞、转发和点个在看哦~我们下次再见!

网络标签:

相关问题